بسته‌ی نفوذی Nuclear و انتشار باج‌افزار Cryptowall ۴.۰

خلاصه‌ی خبر پیش رو این است که جدیدترین نسخه‌ی کریپتووال را می‌توان در بسته‌های نفوذی پیدا کرد.
به گفته‌ی کارشناسان، نفوذگری که با دامنه‌های متعلق به ثبت‌کننده‌ی چینی BizCN سر و کار داشته، این باج‌افزار تازه را از طریق بسته‌ی نفوذی Nuclear منتشر کرده است.
تاکنون Cryptowall ۴.۰ تقریباً منحصراً به وسیله‌ی هرزنامه و رایانامه‌های فیشینگ پخش شده است. این اولین باری است که نسخه‌ی ۴.۰از کریپتووال به واسطه‌ی یک بسته‌ی نفوذی ماشین‌ها را آلوده می‌نماید.
این نفوذگر که حیطه‌ی کاری وی مربوط به دامنه‌های متعلق به BizCN است، به تازگی آدرس‌های IP را برای این دامنه‌ها تغییر داده، دامنه‌هایی که کارگزارهای واسط میان وب‌گاه‌های تحت نفوذ و کارگزاری هستند که میزبانی بسته‌ی نفوذی را در اختیار دارد.
کارگزارهای گیت می‌توانند نوع سامانه‌ی عامل یا مرورگر را با رشته‌ی عامل کاربری موجود در سرآیندهای HTTP که از سوی قربانی احتمالی فرستاده شده‌اند، بررسی نمایند. کارگزار گیت بسته به رشته‌ی عامل کاربری پاسخ مربوطه را ارائه خواهد کرد. کارگزار گیت، هنگامی که سامانه‌ی عامل چیزی غیر از ویندوز باشد، با گیت‌های BizCN، با پیام «۴۰۴ not found» پاسخ خواهد داد. چنانچه رشته‌ی عامل کاربری نشان‌گر یک میزبان ویندوزی باشد، کارگزار گیت پاسخ ۲۰۰ OK را برمی‌گرداند، که این پاسخ ترافیک را برای یک کارگزار EK ایجاد می‌نماید.
برخی تفاوت‌های ظریف میان این نسخه‌ی تازه و نمونه‌های قبلی وجود دارد، مثل یک تغییر در یادداشت باج‌افزار که یادآور این نکته است که این باج‌افزار همان باج‌افزار Cryptowall ۳٫۰ نیست؛ همچنین این نمونه‌ی جدید آدرس IP یک میزبان آلوده را مانند سابق بررسی نمی‌نماید.
ترافیک شبکه برای نسخه‌ی ۴.۰ از کریپتووال بسیار شبیه به همان ترافیکی است که در مورد نسخه‌ی ۳٫۰ با آن مواجه بودیم، به جز همان عدم بررسی آدرس IP توسط نرم‌افزارهای مخرب که در نسخه‌ی تازه نمی‌بینیم.

منبع: asis